Esta Política de Proteção de Dados Pessoais e Compliance em Privacidade estabelece diretrizes gerais para adequação da BW RSVP LTDA às normas vigentes relacionadas ao tratamento de dados pessoais, além de estabelecer o compromisso com a segurança das informações dos titulares dos dados tratados.

Inicialmente, a adequação da entidade em relação à LGPD envolve uma transformação cultural que deve alcançar os níveis estratégico, tático e operacional da instituição. Essa transformação envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço ou produto até sua execução (Privacy by Design); e promover ações de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas por padrão (Privacy by Default).

1. Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
2. Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
3. Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
4. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
5. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
6. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
7. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

A conservação dos dados pessoais será realizada pelo período necessário para o cumprimento das finalidades de tratamento e de acordo com as normativas relativas ao prazo de arquivamento de documentos.

Está política de proteção de dados e compliance em privacidade tem como fundamentos:

1. o respeito à privacidade;
2. a autodeterminação informativa;
3. a liberdade de expressão, de informação, de comunicação e de opinião;
4. a inviolabilidade da intimidade, da honra e da imagem;
5. o desenvolvimento econômico e tecnológico e a inovação;
6. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
7. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Esta política aplica-se a qualquer operação de tratamento, sendo observadas a boa-fé e os seguintes princípios:

1. finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
2. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
3. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
4. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
5. qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
6. transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
7. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
8. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
9. não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
10. responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

O tratamento de dados pessoais é qualquer ação que se faça com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Assim, será realizado o tratamento de dados pessoais nos seguintes casos:

1. para participação de eventos presenciais, híbridos ou virtuais;
2. confirmação dos dados pessoais recebidos de nossos clientes e de novos dados necessários para programação de logística específica de cada convidado (Aéreo, Hospedagem, Transfer, Inscrições e outras iniciativas, desde que vinculadas às finalidades e objetivos institucionais;
3. comunicações específicas e gerais.

A adequação do tratamento de dados depende do contexto da sua interação com a necessidade para o cumprimento das finalidades institucionais, podendo incluir:

1. Informações de identificação pessoal: (nome, endereço residencial, telefone, etc.)

2. Informações de identificação atribuídas por instituições governamentais: (CPF, RG, CRM e especialidade etc.)

3. Dados de identificação eletrônica: (e-mail etc.)

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

1. mediante o fornecimento de consentimento pelo titular;
2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
4. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
5. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
6. para a proteção da vida ou da incolumidade física do titular ou de terceiros;
7. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
8. quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
9. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Os dados pessoais poderão ser compartilhados com:

1. o titular dos dados, através de consulta facilitada e gratuita;
2. setores institucionais, para execução das finalidades institucionais;
3. órgãos da Administração Pública, para cumprimento de obrigações jurídicas a que se encontre adstrita;
4. instituições do setor bancário e seguradoras, para gestão e processamento de pagamentos e celebração de contratos;
5. instituições com as quais haja algum tipo de pactuação contratual ou outros instrumentos jurídicos dessa natureza, nos termos estritamente necessários para a execução daqueles;
6. Poder Judiciário, para cumprimento de determinação judicial ou extrajudicial;
7. outras instituições ou pessoas singulares caso para tal disponha de consentimento.

De acordo com a LGPD, o término do tratamento de dados pessoais pela instituição ocorrerá nas seguintes hipóteses:

1. verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
2. fim do período de tratamento;
3. comunicação do titular quanto à revogação do consentimento, resguardado o interesse público;
4. determinação pela autoridade nacional, quando houver violação à proteção de dados pessoais.

A BW RSVP LTDA realiza o tratamento de dados pessoais pelo tempo necessário para cumprir a finalidade para os quais foram coletados, de acordo com sua base legal. Quando no término do tratamento, os dados pessoais serão eliminados, sendo autorizada a conservação nas situações previstas na legislação vigente.

O Controlador tem, entre outras, as seguintes competências previstas na LGPD:

1. manter registro das operações de tratamento de dados pessoais;
2. elaborar relatório de impacto à proteção de dados pessoais, inclusive dados sensíveis, relativo ao tratamento de dados;
3. orientar o operador quanto ao tratamento de dados segundo instruções internas, da legislação vigente e das regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).

Operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da BW RSVP LTDA, que realiza o tratamento de dados pessoais em nome e por ordem do controlador.

De acordo com a LGPD, o Encarregado é responsável por:

1. receber as reclamações e comunicações dos titulares, responder e adotar providências;
2. receber as comunicações da ANPD e adotar as providências necessárias;
3. orientar todos os colaboradores da instituição sobre as práticas a serem tomadas em relação à proteção de dados pessoais;
4. executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares estabelecidas pela ANPD.

O titular dos dados pessoais poderá, a qualquer tempo e por meio de requisição específica, obter informações sobre o tratamento de seus dados pessoais perante a BW RSVP LTDA, garantidos os seguintes direitos

1. Confirmação de que existe um ou mais tratamento de dados sendo realizado.
2. Acesso aos dados pessoais conservados que lhe digam respeito.
3. Correção de dados pessoais incompletos, inexatos ou desatualizados.
4. Eliminação de dados pessoais desnecessários, excessivos ou caso o seu tratamento seja ilícito.
5. Portabilidade de dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial.
6. Eliminação de dados (exceto quando o tratamento é legal, mesmo que sem consentimento do titular).
7. Informação sobre compartilhamento de seus dados com entes públicos e provados, caso isso exista.
8. Informação sobre o não consentimento, ou seja, sobre a opção de não autorizar o tratamento e as consequência da negativa.
9. Revogação do consentimento, nos termos da lei.
10. Reclamação contra o controlador dos dados junto à autoridade nacional.
11. Oposição, caso discorde de um tratamento feito sem seu consentimento e o considere irregular

Quando solicitado pelo titular dos dados pessoais, a BW RSVP LTDA fornecerá informações de privacidade (confirmação de existência ou acesso a dados pessoais), imediatamente em formato simplificado, e em prazo condizente com o determinado pela ANPD, por meio de declaração clara e completa, que indique a origem dos dados, inexistência de registro, critérios utilizados, finalidade do tratamento. As informações poderão ser entregues por meio eletrônico ou de forma impressa, a critério do titular

Esses direitos podem ser requisitados pelo titular por meio do canal de atendimento através do e-mail Conformidade-LGPD@bwrsvp.com.br

1. Em conformidade com os princípios da LGPD e com as boas práticas de segurança da informação e de proteção de dados pessoais, a BW RSVP LTDA garante que os dados pessoais coletados são tratados de forma íntegra e segura, de acordo com padrões de segurança da informação, confidencialidade e integridade pelo tempo for necessário para realizar as finalidades para as quais foram coletados ou para cumprir com os requerimentos legais aplicáveis.
2. No entanto, é necessário esclarecer que nenhum sistema é completamente seguro. Conforme previsto na legislação, as medidas de segurança existentes consideram a natureza dos dados e de tratamento, os riscos envolvidos, a tecnologia existente e sua disponibilidade.
3. Os dados pessoais tratados são considerados sigilosos e somente serão acessados por pessoas autorizadas e capacitadas para lhes conferir o tratamento adequado, conforme medidas de segurança adequadas para a proteção contra acesso não autorizado, alteração, divulgação ou destruição de dados pessoais coletados e armazenados.
4. Caso haja solicitação do titular, os dados pessoais coletados poderão ser excluídos antes do prazo. No entanto, por motivos legais, por determinação judicial ou para fins de auditoria e segurança, eles poderão ser mantidos por período superior, findo o qual, serão excluídos com uso de métodos de descarte seguro, ou anonimizados de forma a impedir a sua identificação.
5. Caso o usuário retire seu consentimento para finalidades fundamentais ao funcionamento do(s) serviço(s), algumas funcionalidades poderão ficar indisponíveis.
6. Em caso de incidente de segurança que envolva dados pessoais, a ocorrência será comunicada à ANPD e ao titular quando envolver risco ou dano relevante.
7. A comunicação sobre a descrição da natureza, riscos, titulares envolvidos, medidas técnicas e de segurança utilizadas, risco e medidas adotadas para o tratamento do incidente, será feita conforme o prazo definido pela ANPD.

Nos termos do art. 55-J, XVI, a Autoridade de Dados poderá realizar ou determinar a realização de auditorias sobre o tratamento de dados pessoais efetuados pelos agentes de tratamento. Contudo, em observância aos princípios da LGPD, em especial o da prevenção, da prestação de contas e responsabilidade, e do Privacy by Default[1], a BW RSVP LTDA, por intermédio de seu Encarregado de Dados, realizará ou providenciará auditorias (semestrais) para verificação do cumprimento da LGPD e das políticas de proteção de dados internas, atualizando os relatórios no mesmo período.

Esta Política de Privacidade e Proteção de Dados Pessoais poderá ser alterada a qualquer tempo caso haja necessidade.

Por isso, recomenda-se que seja consultada com regularidade e verificada a data de modificação.

A proteção da privacidade e dos dados pessoais é um direito que deve ser compreendido e respeitado. Em um ambiente altamente volátil quanto às transformações tecnológicas e de informação, o uso de dados pessoais nas interações sociais e profissionais tornou-se o grande catalisador para que esse tema fosse normatizado e esse direito garantido.

Nesse contexto, esta Política pode ser utilizada para promover uma cultura de privacidade e a conscientização das pessoas para a proteção de seus dados pessoais, pois os conceitos nela contidos não se aplicam somente a BW RSVP LTDA.

Todos que tratam dados pessoais são responsáveis por sua proteção, inclusive o próprio titular.

Para consulta da Lei Geral de Proteção de Dados, clique aqui.

[1] Data protection by default, considerada 78 da GDPR.

_____________________________

BW RSVP LTDA - CNPJ 27.774.005/0001-28